LINUX.ORG.RU
ФорумAdmin

Mikrotik VRRP + WireGuard

 , ,


0

1

Добрый день.

Друзья помогите разобраться как сделать:

  1. Со стороны офиса есть 2 микротика (R1 и R2) между ними настроен vrrp.

У R1 внешний статический IP адрес У R2 внешний динамический IP адрес (LTE)

  1. Со стороны облачного решения настроен WireGuard сервер (Debian), так же имеет внешний статический IP адрес.

  2. На микротиках настроен WireGuard в сторону сервера, по отдельности все работает (т.е. отдельно R1 с сервером и отдельно R2 с сервером) при условии что на сервере используется конфигурация только с одним Peer или R1 или R2.

Вот проблема, по сути за микротиками R1 и R2 локальные подсети 192.168.168.0/24 - vlan168 и 192.168.170.0/24 - vlan170 здесь vrrp отрабатывает как надо в случае падения R1 переключается на R2 и обратно, когда R1 восстанавливается, но как быть с подключением R1 и R2 к WireGuard серверу одновременно с одними и теми же подсетями?

На сервере можно указать несколько peers в конфигурационном файле, но вроде как логично что указывать в разных peers одинаковые AllowedIPs (в моем случае это: 192.168.168.0/24 и 192.168.170.0/24) не получится, я пробовал запускать, но WireGuard перезаписывал конфигурацию убирая у одного из peer-а одинаковые AllowedIPs.

В общем мне надо как-то сделать, чтобы при срабатывании vrrp также переподнимался тунель с облаком….

Спасибо!



Последнее исправление: maxcom (всего исправлений: 2)
Ответ на: комментарий от AVL2

Ну схема клиент-сервер, на стороне клиентов (R1 и R2) указываю peer до сервера (его внешний IP) на стороне сервера указываю только их публичные ключи и AllowedIPs.

[Interface]

Address = 10.10.8.1/24

SaveConfig = true

ListenPort = 34777

FwMark = 0xca6c

PrivateKey = *****************

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]

PublicKey = *****************

AllowedIPs = 10.10.8.2/32, 192.168.168.0/24, 192.168.170.0/24

[Peer] PublicKey = *****************

AllowedIPs = 10.10.8.3/32, 192.168.168.0/24, 192.168.170.0/24

zhookoff
() автор топика
Ответ на: комментарий от zhookoff

Но при такой конфигурации WireGuard убирает у одного из peer AllowedIPs = 192.168.168.0/24, 192.168.170.0/24 которые пересекаются с другим

zhookoff
() автор топика

allowed ip = 0.0.0.0/0, поверх WG делаешь раздельные PTP сети, дальше OSPF/BGP/etc по вкусу

Bloody ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.